Windows 11 als SSH Dateiserver ohne Administrator Zugriff, nur mit "normalen Benutzern" möglich!???

Alles zum Thema Sicherheit und Internet unter Windows 11.
Antworten
henryfatzke
Einsteiger
Einsteiger
Beiträge: 10
Registriert: 19.09.2021, 05:16
Gender:

Windows 11 als SSH Dateiserver ohne Administrator Zugriff, nur mit "normalen Benutzern" möglich!???

Beitrag von henryfatzke » 26.12.2024, 21:44

Hallo zusammen und Frohe Weihnachten!

Ich arbeite gerade an einem Projekt, bei dem ich meinen uralten HP Compaq Elite 8300 USDT in einen Windows 11
Dateiserver umfunktionieren möchte (OBWOHL ER NICHT Windows 11 kompatibel ist lt. Microsoft aber das nur nebenbei)
fürs Heimnetz via OpenSSH.
Das Problem dabei ist ja immer die Sicherheit, weshalb ich mich frage, ob ich für den SSH Zugriff von vorne herein
User mit Administratorenrechten ausschliessen kann und stattdessen nur "normale" Benutzer zulassen kann, (also nicht mal Hauptbenutzer) und da sind wir auch schon bei meiner Frage.
Ist es möglich den SSH Zugriff AUSSCHLIESSLICH auf normale Benutzer zu beschränken (diese sollen im Endeffekt Dateien
und Ordner lesen schreiben und löschen können, natürlich nur unwichtige, nicht im System)!?
Die Pflege und Wartung erledige ich am Gerät direkt, aber der Alltagszugriff sollte wie oben beschrieben laufen!
Falls es möglich ist, gibt es da irgend welche Fallstricke die ich dabei beachten muß?
Kennt Ihr irgend welche Anleitungen speziell mit eingeschränkten Benutzerrechten?
Ich habe wirklich lange und Intensiv zu dem Thema recherchiert, konnte aber nur sehr wenig und dazu noch sehr wiedersprüchliches im Internet finden und wäre für jede Hilfe dankbar, zumal ich selbst nur sehr wenig Ahnung davon habe... :kopfkratz:

Tante Google

Windows 11 als SSH Dateiserver ohne Administrator Zugriff, nur mit "normalen Benutzern" möglich!???

Beitrag von Tante Google » 26.12.2024, 21:44


Benutzeravatar
Holgi
Elite
Elite
Beiträge: 2877
Registriert: 12.05.2018, 12:33
Hat sich bedankt: 364 Mal
Danke erhalten: 461 Mal
Gender:

Re: Windows 11 als SSH Dateiserver ohne Administrator Zugriff, nur mit "normalen Benutzern" möglich!???

Beitrag von Holgi » 27.12.2024, 01:36

ich habe selbst keine Ahnung von SSH; aber ChatGPT hat auf deine Frage folgende Antwort:
Unter Windows 11 ist es ebenfalls möglich, den SSH-Zugriff ausschließlich auf normale Benutzer zu beschränken. Windows bietet einen eingebauten OpenSSH-Server, der ähnliche Konfigurationsmöglichkeiten wie unter Linux bietet. Hier ist eine Anleitung für Windows 11:

---

### 1. **OpenSSH-Server installieren**
Falls der OpenSSH-Server noch nicht installiert ist:
1. Öffne die Einstellungen: `Windows-Taste + I`.
2. Navigiere zu **Apps > Optionale Features > Weitere Features hinzufügen**.
3. Suche nach **OpenSSH-Server** und installiere ihn.
4. Nach der Installation starte den Dienst:
```powershell
Start-Service sshd
```

---

### 2. **SSH-Root-/Administrator-Zugang sperren**
1. Öffne die Konfigurationsdatei für den OpenSSH-Server:
- Die Konfigurationsdatei liegt unter:
`C:\ProgramData\ssh\sshd_config`
- Öffne sie mit einem Texteditor mit Administratorrechten.

2. Suche die Zeile:
```text
PermitRootLogin yes
```
Falls nicht vorhanden, füge sie hinzu und setze sie auf `no`:
```text
PermitRootLogin no
```

3. Füge den folgenden Eintrag hinzu, um nur bestimmte Benutzer oder Gruppen zuzulassen:
```text
AllowUsers benutzer1 benutzer2
```
oder
```text
AllowGroups sshusers
```

4. Speichere die Datei und starte den SSH-Dienst neu:
```powershell
Restart-Service sshd
```

---

### 3. **Benutzerrechte konfigurieren**
Normalerweise hat jeder Benutzer standardmäßig Zugriff auf sein Home-Verzeichnis unter `C:\Users\<Benutzername>`. Du kannst jedoch sicherstellen, dass Benutzer auf Systemverzeichnisse keinen Zugriff haben:

1. **Zugriff auf Systemverzeichnisse beschränken:**
- Gehe zu `C:\Windows`, `C:\Program Files` und ähnlichen Verzeichnissen.
- Ändere die NTFS-Berechtigungen so, dass normale Benutzer keinen Zugriff haben.

2. **Verzeichnis für Benutzer freigeben:**
- Erstelle ein freigegebenes Verzeichnis für Benutzer, z. B. `C:\UsersData\benutzer1`.
- Passe die Berechtigungen so an, dass nur `benutzer1` darauf zugreifen kann:
- Rechtsklick > **Eigenschaften** > **Sicherheit**.
- Füge den Benutzer hinzu und gewähre nur die notwendigen Rechte.

---

### 4. **Optionale Einschränkung: Benutzer nur auf SFTP beschränken**
Falls du möchtest, dass Benutzer nur Dateien übertragen und nicht auf die Windows-Befehlszeile zugreifen können:

1. Öffne die SSH-Konfigurationsdatei (`C:\ProgramData\ssh\sshd_config`).
2. Füge einen Match-Block hinzu:
```text
Match Group sftpusers
ForceCommand internal-sftp
```
3. Erstelle eine neue lokale Gruppe namens `sftpusers`:
```powershell
New-LocalGroup -Name "sftpusers"
```
4. Füge Benutzer zur Gruppe hinzu:
```powershell
Add-LocalGroupMember -Group "sftpusers" -Member "benutzer1"
```

5. Starte den Dienst neu:
```powershell
Restart-Service sshd
```

---

### 5. **Test und Validierung**
1. Melde dich mit einem Administratorenkonto über SSH an und überprüfe, ob der Zugriff blockiert ist.
2. Melde dich mit einem normalen Benutzerkonto an und stelle sicher, dass der Zugriff wie erwartet funktioniert.
3. Überprüfe, ob der Benutzer nur auf die gewünschten Verzeichnisse zugreifen kann.

---

Mit diesen Schritten kannst du den SSH-Zugriff unter Windows 11 auf normale Benutzer beschränken und sicherstellen, dass sie nur auf spezifische Dateien und Ordner zugreifen können.
PDF24 angepasste Installation (nur PDF Druckertreiber) per Script: viewtopic.php?t=30284
Winget (Desktop App Installer) für Windows Versionen ohne Store installieren (HowTo): viewtopic.php?t=26214
Vorstellung: tiny11builder; Script zur Verschlankung von Windows 11: viewtopic.php?t=30134
Windows StartMenü Empfohlen (Recommended Section) komplett ausblenden: viewtopic.php?t=30574
Hyper-V VM per Script erstellen viewtopic.php?t=25114

henryfatzke
Einsteiger
Einsteiger
Beiträge: 10
Registriert: 19.09.2021, 05:16
Gender:

Re: Windows 11 als SSH Dateiserver ohne Administrator Zugriff, nur mit "normalen Benutzern" möglich!???

Beitrag von henryfatzke » 27.12.2024, 06:37

WOW, das hört sich ja super an, danke für Deine ausführliche Antwort.... Dann werde ich mich die Tage mal ran machen und Deine Anleitung austesten. Falls ich Erfolg habe (oder auch nicht) melde ich mich wieder, spätestens wenn alles rund läuft! Muß aber gleich dazu sagen, bin nicht der schnellste, kann also ein paar Tage dauern.
Bis dahin danke erst mal für Deinen Input! :dafür:

henryfatzke
Einsteiger
Einsteiger
Beiträge: 10
Registriert: 19.09.2021, 05:16
Gender:

Re: Windows 11 als SSH Dateiserver ohne Administrator Zugriff, nur mit "normalen Benutzern" möglich!???

Beitrag von henryfatzke » 31.12.2024, 12:04

Hallo nochmal, das Thema kann als erledigt markiert werden, ich in zufällig über in Projekt gestolpert, das mich total begeistert hat!
Für alle die es interessiert, es handelt sich um HFS ~ HTTP File Server, lässt sich über eine grafische Browser Oberfläche einrichten und ist mit entsprechenden Plugins und Einstellungen HOCHSICHER (u.a. Geoblocking, IP Blocking, SICHERE Freigaben an Freunde und Bekannte weltweit möglich)
Ich hoffe ich verstoße nicht gegen irgend welche Richtlinien wenn ich die Seite hier verlinke, aber das Teil ist so genial, das ich es auch anderen mitteilen muß , die mit ähnlichen Gedanken spielen! Hier also der Link:

https://www.rejetto.com/hfs/

Einziges Manko, man sollte wenigstens ein bischen englisch können, für die Einrichtung, Installation und Plege! Auch Hilfe und eine Community gibts leider nur in englisch, ein paar Videos in Hindi und gebrochenem englisch hab ich noch gefunden, mehr aber auch nicht...
Notfalls kann man sich ja mit Google Translate irgend wie Durchwurschteln, aber das Programm ist nach meinem Empfinden ziemlich intuitiv aufgebaut und lässt sich auch von unbedarften (wie mir) relativ einfach installieren!
Vielen Dank nochmal für die Unterstützung,auch wenns jetzt ein bischen anders gelaufen ist als erwartet! :dankeschoen:

henryfatzke
Einsteiger
Einsteiger
Beiträge: 10
Registriert: 19.09.2021, 05:16
Gender:

Re: Windows 11 als SSH Dateiserver ohne Administrator Zugriff, nur mit "normalen Benutzern" möglich!???

Beitrag von henryfatzke » 02.01.2025, 20:35

Hier ein Paar Ausschnitte aus dem Server Menü, läuft genau wie das Frontend im Webbrowser...
Menü Custom HTML.jpg
Menü Home.jpg
Menü Internet.jpg
Menü Language gilt nur im Webinterface.jpg
Menü Logout.jpg
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.

henryfatzke
Einsteiger
Einsteiger
Beiträge: 10
Registriert: 19.09.2021, 05:16
Gender:

Re: Windows 11 als SSH Dateiserver ohne Administrator Zugriff, nur mit "normalen Benutzern" möglich!???

Beitrag von henryfatzke » 02.01.2025, 20:47

Der Installations Ordner ist komplett portabel und lässt sich mit 163 MB leicht überall hin Kopieren als Backup, Als Noob hab ich 2 Tage intensiev daran arbeiten müssen bis alles rund lief, aber der Aufwand hat sich gelohnt! Ich kann jetzt überall auf der Welt WO UND BEI WEM ICH ES ZULASSE MEINE INHALTE SICHER TEILEN und selbst wenn die Kiste mal abschmiert, lässt das ganze ruck zuck auf ein neues System übertragen!!!
Menü Logs.jpg
Menü Monitoring.jpg
Menü Options.jpg
Menü Plugins.jpg
Menü Shered Files.jpg
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.

Antworten